IOS 12.5.4-ը անվտանգության թարմացումներ է բերում Apple-ի հին սարքերին

IOS 12.5.4-ը անվտանգության թարմացումներ է բերում Apple-ի հին սարքերին
IOS 12.5.4-ը անվտանգության թարմացումներ է բերում Apple-ի հին սարքերին
Anonim

Հին Apple սարքերը ստացել են անվտանգության նոր թարմացում, որը շտկում է մի շարք շահագործվող խնդիրներ, որոնք օգտատերերին բաց կթողնեն վնասակար հրամանների համար:

Ըստ Apple-ի, հին մոդելի Apple սարքերի նոր թարմացումը հեռացնում է որոշ կոդ ASN.1 ապակոդավորիչից, որն առաջացնում էր հիշողության խաթարման խնդիր, որը կարող էր շահագործվել «վնասակարորեն ստեղծված վկայագրի մշակման միջոցով»:

Image
Image

Սա նշանակում է, որ ինչ-որ մեկը կարող է օգտագործել կամ փոփոխել օգտատերերի մի շարք հավատարմագրեր, որպեսզի խաբի համակարգը գործարկի այլ հրամաններ, օրինակ՝ բացել կամ ներբեռնել վնասակար բովանդակություն առանց օգտատիրոջ իմացության կամ համաձայնության:

Webkit-ի թույլ կողմերից մեկը նման է ASN.1 ապակոդավորիչի հետ կապված հիշողության խաթարման խնդրին, թեև ապակոդավորիչի շահագործման փոխարեն հնարավոր էր, որ վնասակար վեբ բովանդակությունը գործարկի հրամաններ: Apple-ը շարունակում է խոստովանել, որ այս կոնկրետ շահագործումը կարող էր ակտիվորեն օգտագործվել նախկինում՝ թարմացումից առաջ:

Վեբկիթի երկրորդ թողարկումը նաև թույլ տվեց վեբ բովանդակությանը կատարել հրամաններ, սակայն կապված էր Use-After-Free խոցելիության հետ:

UAF-ը վերաբերում է հիշողություն մուտք գործելու խնդրին, որն արդեն ազատվել է՝ ունենալով հիշողության ցուցիչ/հասցե, որը նախատեսված է մի գործընթացի համար մյուսին տեղափոխելու միջոցով: Սա կարող է հանգեցնել հիշողության խաթարման և չարամիտ հրամանների կատարման և նույնիսկ հնարավորություն տալ հեռակա կարգով գործարկել կոդը:

Image
Image

IOS 12.5.4 թարմացումը հասանելի է iPhone 5s-ի, iPhone 6-ի, iPhone 6 Plus-ի, iPod Touch-ի, iPad Mini 2-ի, iPad Mini 3-ի և iPad Air-ի համար և վերացնում է անվտանգության խոցելիությունները՝ կապված հիշողության խաթարման և Webkit-ի հետ:

Apple-ը կոչ է անում նրանց, ովքեր կարող են ներբեռնել թարմացումը, քանի որ այն փակում է մի քանի նշանակալի բացումներ, որոնցից մի քանիսը հավանաբար նախկինում օգտագործվել են:

Խորհուրդ ենք տալիս: